اكتشاف اختراق الحساب باستخدام نظام SIEM

اكتشاف الهجمات المرتبطة بالحسابات المخترقة باستخدام الذكاء الاصطناعي وتحديثات أخرى في Kaspersky SIEM.

تبدأ نسبة كبيرة من الحوادث الأمنية المعاصرة باختراق الحسابات. ومع تحول وسطاء الوصول الأولي إلى صناعة إجرامية متكاملة الأركان، أصبح من السهل جدًا على المهاجمين تنظيم هجمات على البنى التحتية للشركات بمجرد شراء مجموعات من أسماء المستخدمين وكلمات المرور الخاصة بالموظفين. وقد زاد الاعتماد الواسع على أساليب الوصول عن بُعد المتنوعة من سهولة مهمتهم. وفي الوقت نفسه، غالبًا ما تبدو المراحل الأولى لهذه الهجمات كأنها تصرفات مشروعة تمامًا من الموظفين، مما يجعلها بعيدة عن رصد آليات الأمان التقليدية لفترات طويلة.

إن الاعتماد الكلي على تدابير حماية الحسابات وسياسات كلمات المرور لم يعد خيارًا مطروحًا. وهناك دائمًا احتمالية لوصول المهاجمين إلى بيانات اعتماد الموظفين عبر هجمات التصيد المختلفة، أو البرامج الضارة لسرقة المعلومات، أو ببساطة بسبب إهمال الموظفين الذين يعيدون استخدام كلمة المرور نفسها لحساباتهم العمل والشخصية، ولا يولون اهتمامًا كبيرًا للتسريبات التي تحدث في خدمات الطرف الثالث.

نتيجة لذلك، يتطلب رصد الهجمات على البنية التحتية للشركة أدوات لا تقتصر فقط على كشف بصمات التهديد الفردية، بل تمتد لتشمل أنظمة التحليل السلوكي القادرة على استكشاف أي انحرافات عن العمليات الطبيعية للمستخدمين والأنظمة.

استخدام الذكاء الاصطناعي في نظام SIEM لاكتشاف اختراق الحساب

كما ذكرنا في مقالنا السابق، لاكتشاف الهجمات التي تنطوي على اختراق الحساب، فقد زودنا نظام Kaspersky Unified Monitoring and Analysis Platform الخاص بنا المعروف بنظام SIEM بمجموعة من قواعد UEBA (تحليل سلوك المستخدم والكيانات) المصممة لاكتشاف الأنماط الشاذة في عمليات المصادقة ونشاط الشبكة وتنفيذ العمليات على محطات العمل والخوادم التي تعمل بنظام Windows. وفي التحديث الأخير، واصلنا تطوير النظام في الاتجاه ذاته، مع إضافة تقنيات تعتمد على الذكاء الاصطناعي.

ينشئ النظام نموذجًا للسلوك الطبيعي للمستخدم أثناء عملية المصادقة، ويتتبع أي انحرافات عن السيناريوهات المعتادة، مثل: أوقات تسجيل الدخول غير النمطية، وسلاسل الأحداث غير المألوفة، ومحاولات الوصول الشاذة. ويتيح هذا النهج لنظام SIEM رصد محاولات المصادقة باستخدام بيانات اعتماد مسروقة، وكذلك اكتشاف استخدام الحسابات المخترقة بالفعل، بما في ذلك السيناريوهات المعقدة التي ربما كانت تمر دون ملاحظة في السابق.

بدلاً من البحث عن مؤشرات فردية، يحلل النظام الانحرافات عن الأنماط العادية. ويتيح ذلك الاكتشاف المبكر للهجمات المعقدة مع تقليل عدد النتائج الإيجابية الزائفة، كما يقلل بشكل كبير من العبء التشغيلي على فرق مركز العمليات الأمنية (SOC).

في السابق، عند استخدام قواعد UEBA لاكتشاف الحالات الشاذة، كان من الضروري إنشاء العديد من القواعد التي تؤدي العمل الأولي وإنشاء قوائم إضافية تُخزن فيها البيانات الوسيطة. أما الآن، في الإصدار الجديد من نظام SIEM المزود بمحرك ربط جديد، أصبح من الممكن رصد قرصنة الحسابات باستخدام قاعدة متخصصة واحدة فقط.

تحديثات أخرى في Kaspersky Unified Monitoring and Analysis Platform

كلما زاد تعقيد البنية التحتية وزاد حجم الأحداث، زادت أهمية المتطلبات المتعلقة بأداء المنصة، ومرونة إدارة الوصول، وسهولة العمليات اليومية. ولا يقتصر ما نحتاجه من نظام SIEM حديث فقط على الدقة في اكتشاف التهديدات، بل يجب أن يظل “مرنًا وصامدًا” دون الحاجة المستمرة لترقية المعدات وإعادة بناء العمليات. ولذلك، اتخذنا في الإصدار 4.2 خطوة أخرى نحو جعل المنصة أكثر عملية وقابلية للتكيف. وشملت التحديثات الجوانب الهيكلية وآليات الرصد وتجربة المستخدم.

إضافة أدوار مرنة وتحكم دقيق في الوصول

يُعد نموذج الأدوار المرن واحدًا من الابتكارات الجوهرية في النسخة الجديدة من نظام SIEM. وأصبح بإمكان العملاء الآن إنشاء أدوارهم الخاصة لمختلف مستخدمي النظام، ونسخ الأدوار الحالية، وتخصيص مجموعة من حقوق الوصول لتتناسب مع مهام أخصائيين محددين. ويتيح ذلك تمييزًا أكثر دقة للمسؤوليات بين محللي مركز العمليات الأمنية (SOC) والمديرين التقنيين والمديرين الإداريين، مما يقلل من مخاطر الصلاحيات المفرطة، ويعكس العمليات الداخلية للشركة بشكل أفضل في إعدادات نظام SIEM.

محرك ربط جديد، ونتيجة لذلك، زيادة استقرار المنصة

في الإصدار 4.2، قدمنا نسخة تجريبية من محرك ربط جديد (2.0). وهو يتميز بمعالجة الأحداث بشكل أسرع، كما يتطلب موارد أجهزة أقل. وبالنسبة للعملاء، يعني هذا ما يلي:

  • تشغيل مستقر تحت أحمال العمل العالية؛
  • القدرة على معالجة كميات ضخمة من البيانات دون الحاجة إلى توسعة عاجلة للبنية التحتية؛
  • أداء أكثر قابلية للتنبؤ به.

تغطية التكتيكات والأساليب والإجراءات (TTP) وفقًا لمصفوفة MITER ATT&CK

نواصل أيضًا بشكل منهجي توسيع نطاق تغطيتنا لمصفوفة MITER ATT&CK للتكتيكات والأساليب والإجراءات: يغطي نظام Kaspersky SIEM اليوم أكثر من 60% من المصفوفة بأكملها. ويتم تحديث قواعد الرصد بانتظام وإرفاقها بتوصيات للاستجابة. ويساعد ذلك العملاء على فهم سيناريوهات الهجوم التي أصبحت بالفعل تحت السيطرة، وتخطيط تطوير دفاعاتهم بناءً على نموذج صناعي مقبول بشكل عام.

تحسينات أخرى

يقدم الإصدار 4.2 أيضًا خاصية النسخ الاحتياطي واستعادة الأحداث، بالإضافة إلى تصدير البيانات إلى أرشيفات آمنة مع ميزة التحقق من السلامة، وهو أمر بالغ الأهمية للتحقيقات الجنائية، وعمليات التدقيق، والامتثال التنظيمي. وتم تنفيذ ميزة استعلامات البحث في الخلفية لراحة المحللين. ويمكن الآن تشغيل عمليات البحث المعقدة والمستهلكة للموارد في الخلفية دون التأثير على المهام ذات الأولوية. ويؤدي ذلك إلى تسريع تحليل مجموعات البيانات الضخمة.

نواصل تحديث Kaspersky SIEM بانتظام، وتوسيع قدرات الرصد، وتحسين البنية الهيكلية، وإضافة وظائف الذكاء الاصطناعي، لضمان تلبية المنصة لظروف العمل الواقعية لفرق أمان المعلومات، ولمساعدتهم ليس فقط على الاستجابة للحوادث، بل وأيضًا على بناء نموذج حماية مستدام للمستقبل. تابعوا تحديثاتنا لنظامنا SIEM، المعروف باسم Kaspersky Unified Monitoring and Analysis Platform، على الصفحة الرسمية للمنتج.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية! 

  • جميع الدول الاخرى